이 워드프레스 블로그는 지난 8월 말부터 한 달 동안 14차례에 걸쳐 디도스(DDoS) 공격을 받았습니다.
디도스 공격이 시작되면 서버에 과도한 HTTP 요청이 유입되어 서버가 매우 느려지거나 다운되게 됩니다. 처음에는 클라우드웨이즈에 연락하여 공격에 이용되는 IP 주소들을 차단하여 대응했지만, 나중에는 클라우드플레어(Cloudflare)에 가입하여 디도스 공격이 감지되면 Under Attack 모드를 활성화하고 IP 주소들을 차단하는 방식으로 대응했습니다.
디도스 공격이 언제 시작될지 알 수 없기 때문에 적시에 대응하는 것이 쉽지 않을 수 있습니다. DDoS 공격이 잦다면 Cloudflare에서 디도스 공격 감지 알림 설정하여 효과적으로 대응할 수 있습니다.
클라우드플레어에서 디도스 공격 감지 알림 설정 방법
일전에 클라우드웨이즈에 연락하여 사이트가 디도스 공격을 당할 경우 어떻게 하는지에 물어본 적이 있습니다. 당시 클라우드웨이즈 담당자는 공격에 이용되는 IP 주소들을 차단해준다는 답변을 들었습니다.
실제로 디도스 공격(분산 서비스 공격)을 당해보니 한 두 차례 공격의 경우 IP 주소 차단으로 어느 정도 대응이 가능할 것 같지만, 저처럼 지속적으로 공격을 당할 경우 클라우드플레어와 연동하면 보다 효과적으로 디도스 공격을 방어할 수 있을 것 같습니다.
디도스 공격 대응 방법
저는 여러 차례 디도스 공격을 받으면서 다음과 같은 방법으로 대응하고 있습니다. 대부분의 공격은 잘 방어가 되는 것 같습니다.
- 클라우드플레어에 도메인을 연결하여 디도스 공격 시 Under Attack 모드 활성화
- Cloudways에 연락하여 공격에 사용된 IP 주소 차단
- 서버 크기를 2GB 램 크기에서 4GB 램 크기로 업그레이드
- 디도스 공격 감지 시 알림 설정
카페24와 같은 공유호스팅에서 디도스 공격을 당하게 되면 방을 빼 달라는 요청을 받을 수 있습니다. 해외에서도 비슷한 것 같습니다. 싱가포르에서 사업을 하시는 한 클라이언트의 사이트(싱가포르 웹호스팅 업체에서 호스팅)에 디도스 공격이 들어오니 곧바로 사이트가 차단되는 것을 본 적이 있습니다.
공유호스팅의 경우 하나의 서버에 많은 사이트가 입주해 있습니다. 디도스 공격으로 한 사이트에 과도한 HTT P 요청이 유입되면 서버 내의 모든 사이트에 영향을 미치게 되므로 공격을 받는 사이트를 퇴출시키는 것은 어쩔 수 없는 선택 같습니다.
디도스 공격 우려가 있는 경우 클라우드웨이즈(Cloudways)에서 서버를 생성하여 이용하면 디도스 공격에 어느 정도 대응이 가능할 것입니다.
사이트 규모가 크거나 방문자 수가 많은 경우 혹은 여러 사이트를 운영해야 하는 경우 클라우드웨이즈가 괜찮은 선택일 수 있습니다. (사이트 방문자 적은 경우 서울 서버를 제공하는 케미클라우드와 같은 호스팅을 고려할 수 있습니다.)
디도스 공격 감지 알림 설정하기
디도스 공격이 시작되면 CPU 사용량이 급증하면서 서버가 매우 느려져 사이트 접속이 잘 안 될 수 있습니다. 디도스 공격이 감지되면 공격에 이용되는 IP주소들을 확인하여 차단하고 조금 기다리면 서버가 정상화될 수 있습니다.
클라우드웨이즈를 이용하는 경우에는 직접 IP 주소들을 확인하여 .htaccess 파일에서 코드를 추가하여 해당 IP들을 차단할 수 있습니다.
CPU 사용량이 급증하면 Monitoring 페이지에서 CPU Usage가 100% 가까이 표시되고 서버 상태가 Problematic으로 표시됩니다.
서버 용량이 큰 경우에는 작은 규모의 디도스 공격을 어느 정도 견딜 수 있습니다. 실제로 이 블로그에 대한 첫 번째 공격 시에는 IP 주소 차단만으로 서버가 잘 견뎠습니다. 하지만 공격 규모가 큰 경우에는 클라우드플레어 연동 등 추가적인 조치를 고려할 수 있습니다.
디도스 공격이 잦다면 클라우드플레어에 가입하면 보다 효과적으로 대응할 수 있습니다. 무료 요금제를 가입하고 디도스 공격이 감지되면 보안 레벨을 Under Attack 모드로 설정하면 디도스 공격이 대부분 방어가 될 것입니다.
Under Attack 모드를 활성화해도 CPU 사용량이 내려가지 않으면 공격에 이용되는 IP주소들을 확인하여 차단하면 정상화될 것입니다.
디도스 공격이 감지될 경우 알림을 받을 수 있다면 보다 빠르게 공격에 대응할 수 있습니다. 다행히 Cloudflare에서 디도스 공격 알림 이메일을 보내도록 설정할 수 있습니다.
1 클라우드플레어에 로그인한 다음, 왼쪽 메뉴에서 Notifications를 선택하고 Add 버튼을 추가합니다.
클라우드플레어는 한국어 버전도 제공합니다. 웹사이트 언어를 한국어로 선택한 경우 왼쪽 메뉴에서 알림을 선택하고 추가 버튼을 클릭합니다.
2 알림 추가 페이지가 표시되면 HTTP DDoS Attack Alert 유형을 선택합니다.
사이트 언어가 한국어로 설정된 경우 DDoS 보호 - HTTP DDoS 공격 경고 알림 유형을 선택합니다.
3 HTTP DDoS 공격 경고 알림 설정 화면이 표시됩니다. 알림 이름, 설명(선택 사항), 알림 이메일 주소 등을 입력합니다.
알림 이메일(Notification email)은 여러 개 설정이 가능합니다.
입력이 완료되면 Save 버튼을 눌러 알림을 저장합니다.
이제 DDoS 공격이 감지되면 지정한 이메일로 디도스 공격 감지 알림 이메일이 전송될 것입니다.
댓글 남기기